Website Security

Tecnologias e/ou

meios de proteção

para sites

Thiago Morais

Segurança da Informação

1o Período – Noturno

Novembro / 2012

Sumário

Top 10 – Vulnerabilidades Pág. 1

Métodos para elevar a segurança Pág. 1

Bibliografia Pág. 4

Top 10 - VulnerabilidadesDe acordo com a OWASP (The Open Web Application Security Project), uma organização

focada em melhorar a segurança em softwares, as vulnerabilidades mais críticas que afetam a

segurança de aplicações Web são:

Original, em inglês

Métodos para elevar a segurança“Desculpe por dizer, mas são pessoas que usam a palavra 'senha'

como senha em tudo e aqueles que possuem um antivírus há 2 anos

desatualizado é que atraem a atenção dos hackers. Se todo mundo tivesse

uma maior preocupação em proteger seus próprios dados, hackers teriam

dificuldades maiores. Do jeito que está, muitas pessoas desconhecem suas

próprias vulnerabilidades. E isto, para hackers, é um jogo de números –

eventualmente eles encontrarão um site com baixa segurança para

danificar. Mas este site não precisa ser o seu!”

Blue Derkin, Junho 15 - 2010

Os links para todos os sites descritos neste trabalho estão devidamente categorizados na

seção “Bibliografia”.

Página 1

Seguem abaixo algumas políticas de segurança para evitar que um site seja alterado ou

danificado indevidamente:

01 – Utilizar as versões mais recentes

Este é um dos métodos mais simples para estar um ou dois passos à frente dos hackers.

Fazendo o download das últimas versões do Apache, IIS, Java, PHP, Tomcat e outros, é possível

reforçar um pouco mais a segurança.

02 – Criar senhas mais complexas

Evitar o uso de senhas fáceis de adivinhar, como por exemplo o nome da esposa ou

“123456”.

O ideal é criar senhas acima de 12 caracteres, misturando letras e números, cada uma

diferente para cada conta ou computador, e que seja familiar e fácil de lembrar.

03 – Travar permissões de arquivo

Alguns aplicativos requerem, para a instalação, que elas sejam alteradas para “777”. Após

a instalação destes aplicativos, é recomendado voltar as permissões para “755” (Pastas) e “644”

(Arquivos).

04 – Validação de código

Para checar se o código usado em um site segue métodos estabelecidos por instituições

focadas em padronização, como a W3C, é recomendado passar o site em uma série de testes de

validação. Exemplos:

– W3C Markup Validation Service: Checa se o código HTML não possui erros de sintaxe ou

quaisquer outros erros que possam compremeter o correto funcionamento do mesmo.

– W3C CSS Validator: Checa o código CSS de um site com os mesmos princípios descritos para a

checar do código HTML.

A validação de código é essencial para descobrir potenciais “vazamentos” de informações

que hackers podem utilizar para ganhar acesso a um site, além de garantir a padronização para a

visualização correta do código HTML entre navegadores.

05 – Cross Site Scripting (XSS)

Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um

computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao

injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de

Página 2

exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos

controles de acesso que usam a mesma política de origem.

Através de um XSS, o Cracker injeta códigos JavaScript em um campo texto de uma página

já existente e este JavaScript é apresentado para outros usuários.

Exemplo de ataque: Imaginem que o cracker insira em um fórum de um website alvo de

ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo,

simular a página de login do site, capturar os valores digitados e enviá-los a um site que os

armazene. Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo

XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros

usuários, provocando a brecha de ataque.

Para diminuir o risco contra este ataque, a melhor política é escanear o site em questão

para checar se o mesmo é vulnerável. Sites como XSS Scanner mostram um relatório completo,

contendo as vulnerabilidades e dicas de como remediá-las.

Bibliografia

XSS Scanner http://bit.ly/biUz9y

Testing for Reflected Cross site scripting http://bit.ly/sNSdN0

OWASP – Cross Site Scripting (XSS) http://bit.ly/fcNVja

Wikipédia – Cross Site Scripting (PT) http://bit.ly/7rSpjB

Wikipedia – Cross Site Scripting (EN) http://bit.ly/Q2fTEu

10 Ways to Beef Up Your Website's Security http://bit.ly/PLEI0 o

OWASP Top Ten Project http://bit.ly/fXsJg6

Página 3